BFW Firewall & Router

[gamba47]

Aplicado a la Beta 8 de ArgentoQoS

El archivo donde podemos hacer filtrados por IP, es exclusivo para tratar las IPs por separado, si hay filtros que son para toda la Subred van en otro archivo, llamado /argentoqos/filter.conf

En detalle:

Estas reglas estan hechas para ser entendidas con su simple lectura, hay que separarla por partes y ver cada uno de los parametros de la misma, a saber:

sub_ siempre va esto, es para realizar los filtros, no nos aporta informacion en la lectura de la regla.

velocidad_ Aca es donde se decide que velocidad se le va a dar a la regla, puede ser ultra_high, high, norm, low y bulk . Todas dan diferentes prioridades. La primera es para las cosas que son con una gran demanda de velocidad de respuesta pero poco trafico, la ultima se usa para los p2p´s y aquellos traficos que son muy largos y que no importa su demora (como el bajar un zip).

port o l7, se puede filtrar por puerto o por l7, el primero consume menos recursos, el segundo es mas efectivo con programas que no tienen un puerto especifico para realizar la transferencia. NO PUEDEN ESTAR LOS DOS JUNTOS.

ip avisamos a que ip (o rango de ips) queremos aplicar la regla.

Sentido de la regla Hay que avisar si la regla se aplica para el trafico saliente (UP) o el entrante (DOWN) ya que no es lo mismo el trato que reciben. Tambien se puede elegir que lo haga para los dos, con poner UPDOWN alcanza.

no_l7 indica que el scanner de l7 no intentara buscar patterns en dicha regla. (nos ahorra consumo cpu). Se pone siempre como ultima parte de la linea.

Lo que viene despues es lo mismo de siempre, especificamos lo que dice la regla, si ponemos puerto tenemos que especificarlo, en cambio si ponemos l7 tenemos que decir el protocolo, no hay que olvidarse de la IP o rango de IPs a lo que se aplica todo.


Entonces, las posibles reglas son:

sub_ultra_high_port_ip
sub_ultra_high_l7_ip
sub_high_port_ip
sub_high_l7_ip
sub_norm_port_ip
sub_norm_l7_ip
sub_low_port_ip
sub_low_l7_ip
sub_bulk_port_ip
sub_bulk_l7_ip

A todas se les puede agregar el no_l7 si queremos consumir menos recursos. Como ejemplo seria

sub_ultra_high_port_ip_down 50 192.168.0.101 tcp 80 no_l7

---------------------------------------------------------------------------------------------
Mas ejemplos utiles:

Código: Selecionar todos

#sub_ultra_high_port_ip_down 48 192.168.1.48 tcp 443 no_l7

Dar velocidad Ultra rapida por el puerto 443 (TCP) a la IP 192.168.1.48 para la bajada. El Adicional de no_l7 hace que la regla consuma menos recursos como dijimos antes.

Código: Selecionar todos

#sub_high_port_ip_up 48 192.168.1.48 tcp 25

Dar velocidad rapida por el puerto 25 (TCP) a la IP 192.168.1.48 para la subida

Código: Selecionar todos

#sub_ultra_norm_port_ip_down 48 192.168.1.48 tcp 110

Dar velocidad normal por el puerto 110 (TCP) a la IP 192.168.1.48 para la bajada.

si se fijan bien es practicamente una misma class_id con la diferencia que al final se le van aplicando los distintos tipos de preferencias colocandoles el puerto necesario para dicha preferencia,

-------------------------------------------------------------------------------------------------.

El archivo actualmente viene con algunos ejemplos que sirven para darse cuenta de todo lo que explicamos más arriba:

Código: Selecionar todos


#Aqui deben completar el filtro a continuación la clase, la ip, el protocolo,
#el puerto y por ultimo la opcion de no_l7.
# no_l7 indica que el scanner de l7 no intentara buscar patterns en dicha regla. (nos ahorra consumo cpu).

#sub_ultra_high_port_ip_down 48 192.168.1.48 tcp 443 no_l7
#sub_high_port_ip_down 48 192.168.1.48 tcp 25
#sub_ultra_norm_port_ip_down 48 192.168.1.48 tcp 110
#sub_ultra_low_port_ip_down 48 192.168.1.48 tcp 465
#sub_ultra_bulk_port_ip_down 48 192.168.1.48 tcp 20:21
#sub_ultra_trash_port_ip_down 48 192.168.1.48 tcp 4662
#
#sub_bulk_l7_ip 48 192.168.1.48

La beta 8 Release 1 tiene una regla que no funciona, que es:

Código: Selecionar todos

sub_ultra_norm_port_ip_down 48 192.168.1.48 tcp 110

La misma no existe y no debe ser utilizada porque no funciona.


Bueno, si alguien desea agregar algo por favor no dudar en postear, la idea será agregada inmediatamente.


Saludos. gamba47

[niraseco]

Esta barbaro todo esto, para ke a poko los ke no nos hemos aventurado aun a migrar a beta 8, vayamos entendiendo mejor estos conceptos. Aunke se mira komplikado pero leyendo y releyendo asi se aprende mejor. Asi me paso en mis primeros pasos con argentoq en beta3.


Saludos, y barbaro gamba, es un magnifico aporte todos tus esfuerzos para cristianizar el sginificado de los settings.

[gamba47]

niraseco, todos estan invitados a hacer lo mismo, despues cada uno puede hacer su pequeño aporte, corriegiendo lo que ve mal.

Espero que te animes y compartas alguna config de algun archivo!!!!

Esto crece dia a dia gracias a todos y si le podemos sacar a Nachazo el problema de la documentacion vamos a crecer mas!!!


Saludos. gamba47

[jcmr79]

Código: Selecionar todos

#sub_ultra_trash_port_ip_down 48 192.168.1.48 tcp 4662

me han consultado esta liena y de momento no termino de caer en la parte del ultra_trash, de momento no estoy aplicando las personales pero tratando digamos de traducir supongo que se refiere a que del trash este esta de primero..... espero me corrigan si estoy errado....

[nachazo]

sub_ultra_trash no existe... fue un error mio de desbolado que soy nomas... jeje

saludos.

[jcmr79]

sub_ultra_trash no existe... fue un error mio de desbolado que soy nomas... jeje

saludos.

nacho, no hay drama, se que lo acomodaras en el proximo argento bridge cuando tengas tiempo de sacarlo...

.

[niraseco]

Una inquietud que tengo amigos, referente a esto de los filtros personalizados, es que por ejemplo me gustaria asignarle mas prioridad/ancho de banda al voip para el 192.168.0.208.

sub_ultra_high_l7_ip 192.168.0.208

Porque no me funciona?
Alguien probo mas esto a detalle.


Saludos amigos

[nachazo]

que aplicacion de voip usa tu usuario?

en la regla que pusiste no aclaras el protocolo de l7

por ejemplo: sub_ultra_high_l7_ip 192.168.0.208 messenger

entiendo que te confundas con la regla porque el ejemplo que esta en el archivo esta incompleto...

Igualmente cada aplicacion de voip utiliza puertos o marcas de tipo TOS...

Vos teens que identificar el flujo mediante esos metodos...

de tipo TOS solo en filtros globales de momento.

Salutes.

[niraseco]

Muchas gracias nachazo, gracias por la ayuda.

Ya tengo mas claro el panorama

Saludos

[traian]

Y estas configuraciones se pueden aplicar directamente a ranos de red? Y si se pudiera, habria que comentar las linias que se refiriesen al mismo protocolo y dejar solo una por cada protocolo para no crear conflictos???

[traian]

Hola otra vez. He estado haciendo pruebas para ver si consigo de momento limitar la subida del edonkey a una sola ip como sale en vuestros ejemplos. He estado estas configuraciones pero en todas me da error cuando arranco el qos. Sabéis que puedo estar haciendo mal??

sub_trash_l7_up edonkey

sub_trash_l7_ip_up 48 10.0.0.2 edonkey

sub_trash_l7_ip_up 10.0.0.2 edonkey

Poer ejemplo, si pongo la linia "sub_trash_l7_up edonkey", me da el error al arrancar el qos: "/argentoqos/class: /argentoqos/class: 892: sub_trash_l7_up: not found". Y el resto me dan el mismo error.

Tambiébn he probado "sub_ultra_trash_l7_up edonkey", pero al arrancarlo no se muestra en el log de inicio de qos. No se si estará funcionando, porque no sale. Deberia salir no??

Finalmente he probado también poner otras prioridades. Por ejemplo, si coloco "sub_low_l7_up edonkey" si que le da subida low a edonkey. Con normal y high tambien funciona. Pero con bulk y thrash da error. Alguien sabe porqué?? Todo esto es para limitar la subida del emule simplemente...

[nachazo]

es un bug de la beta 8 relese 1...

dentro de poco sale la beta 9 con el bug corregido.

saludos.

[niraseco]

que aplicacion de voip usa tu usuario?

en la regla que pusiste no aclaras el protocolo de l7

por ejemplo: sub_ultra_high_l7_ip 192.168.0.208 messenger

entiendo que te confundas con la regla porque el ejemplo que esta en el archivo esta incompleto...

Igualmente cada aplicacion de voip utiliza puertos o marcas de tipo TOS...

Vos teens que identificar el flujo mediante esos metodos...

de tipo TOS solo en filtros globales de momento.

Salutes.

Con respecto al comentario nachazo, yo utilizo el servicio de llamadas con net2phone, pero por medio de estos aparatitos ke le llaman pap2, el ke utilizo es un cisco ata186. Estuve rastreando los puertos, pero cada vez ke se hace una llamada utiliza puertos al azar, lo cual el argentoqos clasifica los paqketes en la categoria unknow.

Tuve ke asignarle mas al porcentaje_ceil_unknow="40", para ke funcione mejor, cambie la prioridad de la categoria a 3, prio_unknow="3", para ke trabajara un poco mas decente.
No se su vos o alguien en el foro tiene experiencia con net2phone y estos aparatitos pap2. Espero sus comentarios amigos.


Saludos

[nachazo]

fijate si podes configurar el soft del net2phone...

Algunos te dejan cambiar los siguientes parametros:

TOS
puerto origen

De esta forma podrias rastrear con argento qos por TOS (es lo ideal) por puerto origen en la beta 9 sale esa opcion.

salutes.

[niraseco]

OK, voy a checar y chiflo.


Saludos

[traian]

Ah, muchas gracias, pero yo uso el argentoqos. En este también está este bug?? Ahora que me fijo, el post dice argetoqos 8, pero vamos por el 3 no??? Tengo además un problema que me acaba de surgir. Si defino varias class_id con descargas de 64 bytes, funcionan bien por ejemplo al descargar de internet por http, pero al navegar no se cumple y tampoco al descargar por ftp puesto que van mas rapido. Es normal que ocurra también?? Muchas gracias.

[niraseco]

???????

Hola trajan, ke uvas, como vamos.
Hermano, te recomiendo que abras nuevo post, para ke te des a entender mejor, porke esta medio confusa tu consulta.
Asi podes detallarnos en si cual es el problema ke te sucede y te podemos brindar una mejor ayuda.


Saludos

[traian]

Si tienes razón, creo que me he confundido. Lo he releido y ahora he visto mi error. Gracias.

[soporte_tecnico]

Una consulta,, el numero 48 corresponde al ip en cuestion o puede ser un numero aleatorio por ejemplo

ejemplo de gamba : sub_ultra_norm_port_ip_down 48 192.168.1.48 tcp 110

Ejemplos mios: sub_high_port_ip_up 50 192.168.1.48 tcp 110
sub_high_port_ip_down 51 192.168.1.48 tcp 6112

Por favor corregime si estoy equivocado, por que se me hace una mescolanza en la cabeza.. jejeje,, Gracias

[niraseco]

Ke tal soporte tecnico!

Depende del criterio de cada kien, y como kiere administrar su red. O sea, es decisión de cada adminisrador de su red interna. (Segun entiendo yo, corrijanme por favor si estoy ekivokado).



Saludos

[soporte_tecnico]

Que tal Ninaresco yo preguntaba ya que no se si ese numero al que hacia referencia esta aputando alguna Class_id,, o es para seguir un orden nada mas...

[niraseco]

Es por cuestiones de orden.

La verdad es ke me atreveria a decir ke la mayoria de aki los user de argentoqos usamos el class_id 48.
A veces yo por kuestiones de travesear este soft, he cambiado el numero de la class_id a 50 o a 60, y es indistinto. No causa ningun efecto contraproducente. Es lo mismo


Saludos

[soporte_tecnico]

Ninaresco gracias por tu ayuda,, de verdad,, a veces es bueno preguntar antes de meter la pata ,, jejej

[niraseco]

Hola brotheres, me paso algo desconcertante al seguir experimentando con los filtros personalizados:




sub_ultra_high_port_ip_up 48 192.168.0.208 udp 10000:65000 no_l7
sub_ultra_high_port_ip_down 48 192.168.0.208 udp 10000:65000 no_l7

Tanto para la subida como para la bajada, pero cuando detengo el qos y lo inicializo de nuevo me aparece este mensaje:

/argentoqos/custom_filter: /argentoqos/custom_filter: 995: sub_ultra_high_port_ip_up: not found

Que estoy haciendo mal?


Saludos y gracias de antemano

[gamba47]

Código: Selecionar todos

/argentoqos/custom_filter: /argentoqos/custom_filter: 995: sub_ultra_high_port_ip_up: not found

Es un bug de la funcion que se olvido Nachazo en la proxima version de ArgentoQoS sale solucionado... por el momento, ese comando no esta funcionado.

gamba47

[niraseco]

Gracias Gamba por la pronta respuesta.


Saludos

[jcmr79]

Una consulta,, el numero 48 corresponde al ip en cuestion o puede ser un numero aleatorio por ejemplo

soporte_tecnico, el numero puede ser aleatorio, pero no se debe repetir, si usas muchas class_id o muchas simple_class_id en mi aso particula yo acostumbro a colocarlos asosiados a la IP para evitar duplicar el numero, de resto queda a decicion del administrador de la misma red....

.

[frec23]

como vas niraseco, lograstes darle buena velocidad a tu voip?, te comento que yo tambien estoy tratando de configurar voip en mi cyber, cuando utilizo voip se abren los puertos udp 5060 y udp 5061, a estos puertos le doy
sub_ultra_high_port_updown udp 5060:5061 #voip net2phone
y hasta ahora va bien, no entiendo aun lo que significa emplear TOS...
Utilice 2 class_id, la una para el cyber y la otra solo para voip a traves de un equipo pap2t de linksys (uso ArgentoQos)
ademas puse
prio_conn_ultra_high 5060:5061
en el archivo /argentoqos/filter.conf

esto es lo poco que puedo contribuir espero ayudar en algo. por cierto felicitaciones a Nachazo, despues de muchas leidas y cabezasos a la pares...jejeje pude migrar a ArgentoQos, funciona de pelos... aunq todavia falta mucho para personalizar mas esto, mi proximo desafio es ArgentoBridge.... exitos Nachazo

[niraseco]

Hola Frec23. Pues bien, aki buskando como mejorar el rendimiento de la red.

Referente al VOIP, pues si, son los mismo puertos que utilizo. Mi pap2 es un cisco ATA 186, ke inicialmente como el tuyo ocupa esos puertos, pero, solo para establecer la comunicacion, despues se me dispara a otros rangos de puertos siempre ubicados entre el 10000 y el 30000. El problema que tengo reside ke al definir un rango tan amplios de puertos con prioridad ultra_high a veces se generan conexiones de las otras pcs por otras aplicaciones dentro de ese rango lo que a veces por momentos satura la conexion.

Probe usar los filtros personalizados pero solo funcionana para el download no para el upload ya que tiene un bug, de acuerdo a lo ke gamba respondio.
Asi ke mientras tanto, sigo buscando alternativas paleativas para superar este inconveniente temporal. (Esperemo que en la beta 9 de argento qos esten disponibles ambas caracteristicas para los filtros personalizados)

Saludos Frec.

[tatan140]

niraseco fijate que tb tengo ese router pero el mio es un SIPURA SPA-2100 y lo configuro con una ipfija, pero cada vez que reinicio el argentoQoS este router de telefonia se Cae y tengo que cambiar la ip para que funcione, aca en chile uso "parallelchile" y tambien usa pap2...


bueno cualquiier cosa que tengas de novedad me avisas


saludos